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Анотація. В дослідженні розглядаються питання розробки методики виявлення аномальних мережевих 
з'єднань на основі гібридизації методів обчислювального інтелекту. Виконано аналіз підходів до виявлення 
аномалій і зловживань в комп'ютерних мережах. У рамках цього аналізу запропоновано класифікацію методів 
виявлення мережевих атак. Основні результати зводяться до побудови багатокласових моделей, які дозволя- 
ють підвищити ефективність функціонування системи виявлення атак, і можуть використовуватися для побу- 
дови систем класифікації мережевих параметрів під час атак. Розроблено модель штучної імунної системи на 
базі еволюційного підходу, алгоритм генетико-конкурентного навчання мережі Кохонена та методику ієрар- 
хічної гібридизації бінарних класифікаторів з додатком до виявлення аномальних мережевих з'єднань. Розроб- 
лено архітектуру мережевої розподіленої системи виявлення атак. Архітектура системи виявлення атак є дво- 
рівневою: перший рівень забезпечує первинний аналіз окремих пакетів і мережевих з'єднань за допомогою сиг- 
натурного аналізу, на другому рівні здійснюється обробка агрегованих мережевих потоків даних за допомогою 
адаптивних класифікаторів. Проведено сигнатурний аналіз для дослідження швидкодії мережі на основі алго- 
ритмів Ахо-Корасік 1 Бойера-Мура й реалізовані їх поліпшені аналоги за допомогою технологій ОрепМР і 
СОРА. Наведена архітектура та показано основні моменти функціонування генератора мережевих атак. Роз- 
роблено систему генерації мережевих атак. Дана система складається з двох компонентів: асинхронного прозо- 
рого проксі-сервера ТСР-сесій 1 бопіепа-інтерфейсу генератора мережевих атак. Результати експериментів під- 
твердили те, що функціональні й нефункціональні вимоги, а також вимоги, що пред'являються до обчислю- 
вальних інтелектуальних систем, виконуються для розробленої системи виявлення атак. 

Ключові слова: гібридизація; аномалії; мережеві з'єднання; бінарні класифікатори; евристичні підходи; 
штучний інтелект; виявлення атак 


АБігасі. ТРе 5(иду сопзідегя Ше Феуе|ортепі ої плеїродз Гог деїесіпє апотаїоця пегмогк соппесйопя Базед оп 
рубгідйігабоп ої согариіайопа! іпіеШяепсе пеШодя. Ап апаЇузія ої арргоасрез о Фегесіпо апотаїез апа абивез їп сот- 
ршег пегуогкя. П Ше Їтатемогк ої Фіз апаіузі8, а сіаззійсайоп ої ппефодя Їог деїесійпе, пебмогк айаскя 15 ргорозеа. 
Те таїп гезиіїя аге тедисед іо Фе сопбігисйоп ої плиій-сіав5 плодеї!5 (рак іпстеа5е Ше еййісіепсу ої Ше айасК деіесйоп 
зузіега, апа сап Бе ц5ед о Бий зубіетя Ког сіаввібутпє пеїмогк рагатегего Фигіпє Ше айасК. А подає! ої ап агійсіа! іт- 
типе 5узіет Базед оп ап еуоіцййопагу арргоасі, ап аїсогіййт Їог єепейс-сотрейїйуе Іеагпіпе ої Ше Коропеп пебмогк 
апа а теїоа ої Біегагсрісаї Бубгійїгацоп ої Біпагу сіаєзійегя мії Фе аддїчоп іо ре деїесйїоп ої апотаїоця пе огк 
соппесйопя Пауе Бееп деуеіореай. ТПе агспікесіиге ої Ше пебмогк дізігібшеа айаск декеспоп зубіет раз Бееп деуеїореай. 
Тре агсрікесіиге ої Ше айасКк деїесійоп 5у5ет 15 Сумо-Цег: ре Пг5 Іеуе! ргоуіде5 Ше ргітагу апаЇузі5 ої іпаїміаца! 
расКеї8 апа песмогК соппесйїопя изіпе 5іспагите апаїузіє, Ше 5есопа Іеуе! ргосез5ез Ше ргосеззіпе ої асотеваїе пермогк 
Чака 5пеатя изіпо аЧарйуе сіаввійег5я. А зіспаките апаЇузі5 ма5 регіогтей (0 5шау пебмогКк регіогттапсе Базед оп Фе 
АПпо-Когазік апа Воуег-Мооге аїєогійтя апа (Беїг іпаргоуеа апаїоєцез меге ітріетепіеа цеіпє ОрепПМР апа СОФА 
сесплоїовіез. ТПе агспітесіиге 15 ргезепіеа апа Ше таїп роїпіз ої орегайоп ої їре пебмогК ацасК депегаог аге 5Помп. А 
зузіет Їог єепегайпо пебмогк акаск5 ра5 Бееп ЧФеуеіореа. ТРі8 5убіет сопзі8і5 ої (муо согаропепіз: ап азупсргопошпя 
сапбрагепі ргоху 5егуег Їог ТСР вез8іоп8 апа а їгопіепа іпіегіасе Бог а пебмогі айаск єепегагог. ТПе гезиіз ої Ше ехре- 
гітепіз сопігтед іа Бе Гипсбйопа! апа поп-Гипсбопа! гедцітетепіз, а5 ууе/ а5 Ше гедшігетепіз їог сопарийпя, іпеШШ- 
єепі 5у5іете, аге тлі Їог Ше деуеіореай айаск деїесйїоп 5узіет. 

Кеуу/огая: рубгійгадйоп; апопайеє; песуогк соппесіййоп8; Біпагу сіа855ійег8; решгі5йс арргоасрез; агійсіаї 
іпеШяепсе; айасК деїесйоп 


14 ОО. Белей, К.К. Колесник 


155. 2710-1673. Агійсіа! ПіеШяепсе, 2020, ХМ» 3 


Вступ 

Розробка системи виявлення атак є 
одним із пріоритетних напрямків у галузі 
інформаційної безпеки. Важливість вирі- 
шення цього завдання обумовлюється по- 
стійним збільшенням і різноманітністю 
комп'ютерних мережевих загроз, реаліза- 
ція яких може призводити до серйозних 
фінансових втрат у різних організаціях. 
Подібне зростання атакуючих дій з кож- 
ним роком потребує затрат значно біль- 
ших сил і тимчасових витрат з боку адмі- 
ністраторів і аналітиків безпеки. У компа- 
ніях, залучених до виробництва критично 
важливої продукції, для підтримки безпе- 
ки корпоративних мережевих ресурсів ви- 
трачаються великі фінансові та матеріаль- 
ні кошти, спрямовані на утримання спеці- 
ального обладнання у вигляді компонентів 
системи виявлення атак і обслуговуючого 
його персоналу. Для забезпечення корект- 
ної інтерпретації переданих у пакетах да- 
них необхідно виконувати їх складання в 
мінімальний логічний потік - мережеве 
з'єднання, що дозволить оперувати більш 
високорівневими характеристиками мере- 
жевого трафіку для виявлення аномалій, 
властивих мережевому й транспортному 
рівням моделі ОЗІ. 

Для виявлення мережевих атак мо- 
жуть застосовуватися як сигнатурні меха- 
нізми пошуку шаблонних аномальних дій, 
так 1 евристичні підходи. У разі сигнатур, 
вирішення задачі зводиться до реалізації 
процедури, яка виконує перевірку вход- 
ження заданої байтової послідовності все- 
редині вмісту мережевих пакетів. Недолі- 
ками такого рішення є складність створен- 
ня репрезентативного набору з подібними 
записами й обмеження у виявленні моди- 
фікованих варіантів відомої атаки. Навпа- 
ки, евристичні підходи дозволяють вияв- 
ляти приховані закономірності в аналізо- 
ваних мережевих потоках. Саме ця особ- 
ливість пояснює їх широку популярність у 
науково-дослідному співтоваристві й відіг- 
рає ключову роль при виборі й проєктуван- 
ні ядра системи виявлення атак. З іншого 
боку, в основі функціонування більшості 
комерційних відкритих програмних рі- 
шень переважає підхід, який базується на 
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сигнатурному зіставленні зі зразком 1 ха- 
рактеризується мінімальним числом по- 
милкових спрацьовувань. Для збереження 
переваг обох підходів використовується 
прийом їх комбінування, що, як і раніше, 
залишаються неповною мірою дослідже- 
ними. Тому завдання виявлення аномаль- 
них мережевих з'єднань є актуальним, а 
пропонований | у цьому дослідженні 
модельно-методичний апарат, який вико- 
ристовує гібридизацію різнорідних мето- 
дів обчислювального інтелекту Й сигнатур- 
ного аналізу, спрямований на Його вирі- 
шення. Сфера обчислювального інтелекту 
охоплює дослідження біологічно інспіро- 
ваних моделей, спрямованих на обробку 
низькорівневих даних про об'єкт без вико- 
ристання експертних знань. Під терміном 
«гібридизація» розуміється комбінування 
різнорідних вирішень в єдину систему 
класифікації об'єктів. 

Постановка проблеми 

Аналіз робіт у цій галузі показав, що 
для виявлення мережевих атак відсутня 
гнучка методика навчання колективу адап- 
тивних бінарних класифікаторів, і біль- 
шість досліджень обмежується розглядом 
лише однієї схеми комбінування вирішень. 
Тому дослідження спрямоване на розробку 
узагальненого підходу до побудови універ- 
сальної структури для зберігання та подан- 
ня класифікаторів -- дерева класифікаторів 
та алгоритму каскадного навчання Його 
вузлів, що дозволить, у контексті виявлен- 
ня аномалій мережевих з'єднань, поєднува- 
ти різнорідні модулі без суворої прив'язки, 
агрегувати їх виходи й підвищити ефектив- 
ність системи виявлення атак за рахунок 
можливості вибору найкращої схеми ком- 
бінування вирішень. 

Дослідження полягає в розробленні 
компонентів, призначених для підвищен- 
ня коректності детектування мережевих 
атак, що дозволить забезпечити необхід- 
ний рівень захищеності інформаційних ре- 
сурсів. Використання запропонованої ме- 
тодики гібридизації бінарних класифікато- 
рів надасть можливість об'єднати різно- 
рідні засоби виявлення мережевих атак 
для створення гібридної системи виявлен- 
ня атак. За рахунок використання детекто- 
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рів як мінімальної одиниці класифікації 
мережевих атак, проєктування системи 
виявлення атак здійснюється знизу-вгору: 
спочатку її ядро пристосовується до вияв- 
лення індивідуальних типів атак, а потім - 
формує правила для порівняння підозріло- 
го з'єднання з відповідним класом. Роз- 
роблений модельно-методичний апарат 
може бути використаний як для захисту 
комп'ютерних мереж, так і для вирішення 
інших, більш загальних задач, пов'язаних 
з класифікацією об'єктів. 

Аналіз останніх досліджень |і 
публікацій 

Серед перших робіт, що містять пере- 
думови до постановки та вирішення задачі 
виявлення аномалій, можна вважати |1). У 
/2| автор передбачає, що зловмисник може 
бути виявлений за допомогою аналізу вміс- 
ту журналу аудиту контрольованої системи 
й наявністю відхилень, витягнутих з нього 
записів, від встановлених адміністратором. 
У |3| пропонує розглянути статистичну мо- 
дель, що складається з шести компонентів: 
(1) користувач, процес, система; (2) файли, 
програми, команди, пристрої; (3) записи 
журналу аудиту, що представляють собою 
результат дії суб'єктів над об'єктами; 
(4) шаблони поведінки суб'єктів; (5) запи- 
си, що генеруються при виявленні ано- 
мальної поведінки; і (6) правила, які визна- 
чають умови їх спрацьовування й наступні 
дії. 

Варто зазначити, що побудова шаб- 
лону нормальної поведінки є трудоміст- 
ким завданням і часто не завжди здійснен- 
ним. Так, на практиці виявляється, що не 
кожна аномальна поведінка є атакою |4Ї. 
Зокрема, адміністратор мережі може за- 
стосовувати налагоджувальні утиліти, такі 
як ріпє, ітасегоціе, паїг для діагностики ме- 
режного оточення. Дії такого роду не ма- 
ють будь-яких нелегальних намірів, проте 
системи виявлення аномалій розпізнають 
цю діяльність як властиву нелегітимній 
мережевій активності. 

Однією з класичних і фундаменталь- 
них робіт, присвячених виявленню зловжи- 
вань, є |5|. Для вирішення цього завдання 
автори даної роботи пропонують викорис- 
товувати розфарбовані мережі Петрі. 
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У обчислювальному інтелекті такий 
інтелектуальний агент являє собою систе- 
му, яка здатна функціонувати розумно (б). 
На відміну від інших галузей ШІ, напрямок 
ОЇ значною мірою акцентується на побудо- 
ві й дослідженні обчислювальних моделей. 
ОІ був уведений з метою відокремити загін 
теоретичних дисциплін, які на той момент 
вже стали цілком самостійними й розвине- 
ними. Серед них були виділені нейронні 
мережі, генетичні алгоритми, нечіткі систе- 
ми, еволюційне програмування й активне 
життя. У |7| визначено наступні характе- 
ристики, властиві для обчислювально- 
інтелектуальної системи: (1) здатність об- 
робляти числові дані низького рівня; 
(2)наявність компонентів розпізнавання 
образів; (3) відсутність необхідності базу- 
ватися на експертних знаннях. Крім того, 
виділяється ряд додаткових вимог до сис- 
тем подібного класу: (1) обчислювальна 
адаптивність; (2) стійкість у разі наявності 
шумів; (3) висока швидкість функціонуван- 
ня; (4) рівень помилок, наближений до 
людської діяльності. 

У дослідженні |8| представлена сис- 
тема динамічного забезпечення та моніто- 
рингу ресурсів, мультиагентна система 
для управління ресурсами хмарного про- 
вайдера з урахуванням вимог до якості об- 
слуговування клієнтів, визначених угодою 
про рівень обслуговування. А досліджен- 
ня |9| розширює пропозицію стандарту 
хмарних обчислювальних інтерфейсів для 
відповідного багатокласового  обчислю- 
вального агента. 

У попередніх дослідженнях |10| ав- 
торами розглядається недосконалість існу- 
ючих методів виявлення вторгнень, а та- 
кож мінливий характер зловмисних дій на 
комп'ютерні системи. На основі проведе- 
ного аналізу була запропонована гібридна 
схема виявлення та класифікації мереже- 
вих атак на основі комбінації адаптивних 
класифікаторів. 

Мета дослідження 

Полягає в підвищенні ефективності 
функціонування системи виявлення атак 
за допомогою модельно-методичного апа- 
рату, який базується на підході гібридиза- 
ції обчислювального інтелекту. 
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Виклад основного матеріалу - попередня обробка параметрів мереже- 
Загальне уявлення пропонованої ме- вих з'єднань; 
тодики для виявлення аномальних мере- - ієрархічний обхід дерева класифікато- 
жевих з'єднань показано на рис. І і скла- рів у ширину; 
дається з наступних п'яти етапів: - виявлення аномальних мережевих 
- побудова дерева класифікаторів; з'єднань. 
- формування параметрів | мережевих 
з'єднань; 
Конфігураційні ру ню ПЕГЕТЕТЕТЬТИ Бінарні масиви, що 
пасіці ППП нережнихуєннь 00094 ЦЗВІВІВН шок ма 
що передаються з'єднань 
через ВРСЛ85І, 
1 Колектор 1 Колектор Колектор 


Етап 3. Попередня Етап 5. Виявлення 


обробка парметрів аномальних мережевих 
мережевих з'єднань з'єднань 


Етап 1. Побудова 
дерева класифікаторів 


тап 2. С 
аналіз і генерація 
параметрів мережевих 
з'єднань 


ій Сенсори 


73 Сирі ТСРМР пакети 


Етап 4. Іерархічний обхід 
дерева класифікатора в 
ширину 


і Колектор 
бий Навчальні та текстові дані 


Рис. 1. Основні етапи методики ієрархічної гібридизації бінарних класифікаторів 
для виявлення аномальних мережевих з'єднань 


Перший етап методики може бути 
охарактеризований як підготовчий, він 
включає в себе вибір структури окремих 
бінарних класифікаторів: розмірності й чис- 
ла шарів, параметрів і алгоритмів навчання, 
типів функцій активації, функцій приналеж- 
ності й ядерних функцій. Для кожного де- 
тектора може бути складений набір на- 
вчальних правил. Ставлячи різну сукупність 
таких наборів правил, можна сформувати 
групу детекторів. 

Детектори всередині кожної такої 
групи об'єднуються в класифікатор на ос- 
нові підходів один-до-всіх (опе-у58-аї), 
один-до-одного (опе-у5-опе) або їх різних 
похідних варіацій. У першому підході ко- 
жен детектор з ІК" -З101МК з 1,.. т) 


навчається на даних ордер еко і 


функціонування групи детекторів опису- 
ється наступним чином: 


О О.І. Веїеі, К.К. Коіезпук 


10), 

Її к | Ро я Пує 
У другому підході кожний з ЧІ - 

детекторів 0 | навчається на безлічі 


об'єктів, що належать тільки двом класам 
з мітками 0 і К! 


-Коу0| сек Ос аку, 0 де 
О«крс«к от. Однією з похідних варіа- 


ЕР(г)е (1) 


цій попередніх підходів для комбінування 
детекторів може бути згадане класифіка- 
ційне бінарне дерево |2|. Формально така 
структура задається рекурсивно наступ- 
ним чином: 
т с-1 
Кіз и тах УІЕЗ СО «01 У ПЕС З -) (2) 
ке0 


се(0,...т) КЕСЧІ 
Тому функціонування групи детек- 


торів, представлених у вигляді вузлів та- 
кого дерева, описується за допомогою ре- 
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курсивної функції, яка задає послідовну 
дихотомію множини: 


ЕІ зфі (щ,г) З) 
/7А 

ЕР(дечфР,, 2), (4) 
фОСВи о) 


Застосування функції до вихідного 
набору міток класів і об'єктів, що класифі- 
куються, дозволяє здійснювати однознач- 
ний пошук мітки класу цього об'єкта. Це 
пояснюється тим, що, оскільки по мірі 
спуску вниз класифікаційним деревом від- 
бувається диз'юнктивне розбиття множи- 
ни міток класів, то після досягнення й 
спрацьовування термінального детектора 
залишається тільки одна можлива мітка 
для класифікації вхідного об'єкта як ви- 
хідного результату. Тому для класифіка- 
ційного дерева неможливі конфліктні ви- 
падки при класифікації об'єктів, які мо- 


(0, 1,2, 3,4,5,6) 
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жуть мати місце для двох інших підходів 
комбінування. 

Іншим підходом є спрямований ацик- 
лічний граф, який організовує детектори у 
зв'язну динамічну структуру, яка може бу- 
ти задана наступною формулою: 


( 
РАС, з (ко РАС у РАС да), 
и 


17 (5 

У іншому випадку виключається міт- 
ка 0. Процес повторюється до тих пір, поки 
множина не вироджується в одноелемент- 
ну. Нами наведено характеристики розгля- 
нутих схем об'єднання детекторів у багато- 
класову модель, призначену для співвідне- 
сення вхідного об'єкта однієї або з деяки- 
ми (31) мітками класів. На рис. 2 зображе- 
но класифікаційне бінарне дерево й спря- 
мований ациклічний граф (рис. 3). 


Рис. 2. Класифікаційне бінарне дерево 


З розглянутих чотирьох схем тільки 
одна, а саме класифікаційне бінарне дере- 
во, має змінне число детекторів, які можуть 
використовуватися в процесі класифікації 
об'єктів. Мінімальне значення досягається, 
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коли активується детектор, розташований в 
корені дерева й навчений для розпізнаван- 
ня тільки одного класу об'єктів серед усіх 
інших. 


О О.І. Белей, К.К. Колесник 
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Рис. 3. Спрямування ациклічного графа 


Максимальне значення досягається, 
коли дерево представляється послідовним 
списком і активується найбільш віддале- 
ний у ньому детектор. На рис. 4 представ- 
лений класифікатор, у якому кожна з груп 


севатенетеноввоюнтовоня 


детекторів навчається на різних випадко- 
вих  бутстрап-підвибірках, які можуть 
включати повторювані впорядковані еле- 
менти з вихідного навчального набору. 


1) 
гирла НОЙ 
-- раї | 
і тій 1 
І з | 
.-ве і : і 


і -ю--ь - ЛРОРИИ 
і ооо и ОГО 

і дної Груза 2; аа н ЕРа) 

ПС ЦИ со РА сте 

СРО РРО ГР 

і ; : і - | 1 

РП ем А а 

о | т | гг НИ | 


Рис. 4. Схема об'єднання детекторів у багатокласову модель 


Об'єднання груп у класифікатор здій- 
снюється на основі гібридного правила, яке 
представляє собою суміш голосування 
більшістю й голосування тах-м/тіпз: 


вет 


Для усунення даного недоліку запро- 
поновано механізм вирішення таких конф- 


У є Е?(2 оч лвкс)в пахв | (6) 


УЧ сеі0,..т) 


О О.І. Веїеі, К.К. Коіезпук 


ліктних випадків, що входять до складу 
груп класифікатора. 

Для побудови колективного правила 
(агрегація композиції), що об'єднує вихідні 
результати класифікаторів, були реалізова- 
ні такі підходи: 


- метод  мажоритарного голосування 
(ММГ), або метод голосування 
більшістю; 
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- метод зваженого голосування (М3ЗГ), 
що приписує класифікаторам вагові 


коефіцієнти; 

- метод багатоярусного | укладання 
(МХУ), доповнений уведенням номера 
кластера; 


- метод Фікса-Ходжеса (МФХ), що пред- 
ставляє собою об'єднання класифікато- 
рів з використанням арбітра на основі 
динамічних областей компетентності й 
методу найближчих сусідів. 

Для виконання завдання синтаксич- 
ного аналізу був реалізований інтерпрета- 
тор, що підтримує операції умовного розга- 
луження, конкатенації класифікаторів, век- 
торного підсумовування, покомпонентного 
множення Й ділення. 

У процесі роботи інтерпретатора пе- 
ревіряється коректність оброблюваного 
конфігураційного файлу й незапочаткова- 
но поля об'єктів всередині споруджуваного 
дерева класифікаторів. За рахунок вико- 
ристання такої структури в рамках запро- 
понованої методики, стає можливим буду- 
вати багаторівневі схеми, у яких блоки бу- 
дуть містити схожий фрагмент з рис. 4. 

Дана методика передбачає розподіле- 
ну архітектуру, реалізуючи її системи, у 
яких збір даних здійснюється вторинними 
вузлами-сенсорами, а вся обробка агрего- 


Мережеві 
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ваних потоків даних виконується на цент- 
ралізованому  сервері-колекторі. Другий 
етап методики, що виконується на стороні 
сенсорів, полягає в застосуванні розробле- 
ного алгоритму збірки сирих пакетів у ме- 
режеві з'єднання, виділення їх параметрів і 
виконанні сигнатурного аналізу з викорис- 
танням декількох розроблених паралельно 
модифікацій алгоритмів шаблонного по- 
шуку підрядка. З цією метою було до- 
сліджено швидкодію алгоритмів  Ахо- 
Корасік 1 Бойера-Мура на обраних сигна- 
турних записах Зпогі та реалізовано їх по- 
ліпшені аналоги за допомогою технологій 
ОрепМР і СОФА. Було реалізовано подіє- 
воорієнтований аналізатор мережевого тра- 
фіку, за допомогою якого було вилучено 
106 мережевих параметрів, серед яких 
можна назвати тривалість з'єднання, вико- 
ристовувану мережеву службу, інтенсив- 
ність відправки хостом спеціальних паке- 
тів, число активних сполук між конкрет- 
ною парою ІР-адрес (один із критеріїв По05- 
атак), ознака зміни масштабування ТСР- 
вікна після фактичного встановлення сесії, 
поточний стан ТСР-з'єднання, різні ознаки 
наявності скануючих пакетів на рівнях 
ТСР, ЮРР, ІСМР 1 ІР (15 різних кодів ска- 
нування). Класифікація цих параметрів по- 
казана на рис. 5. 


параметри 


Спосіб розравунку Рівень модел О51 
даних 


Спосіб 
Тип даних 
отримання даних 
Значимі 
ри а рівні мереже- 
Цілі вого з'єднання 
| На рівні групи 
Булеві пакетів та з'єднань 


й, 
(теорі | р 


Рис. 5. Класифікація мережевих параметрів 
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Для вимірювання величини інтенсив- 
ності відправки/прийому пакетів викорис- 
товувався адаптований метод ковзаної се- 
редньої. Суть методу полягає у розбитті за- 
даного тимчасового інтервалу, протягом 
якого проводиться безперервне спостере- 
ження за рядом параметрів, на кілька дріб- 
ніших інтервалів однакової довжини, поча- 
ток кожного з яких має зсув 0 «6 відносно 
початку попереднього інтервалу (рис. б). 
1738, с Гл і СВ. - А , тому 
Каїч ен 

. Протягом проміжків часу 
робляться зліпки значень 0,...,1 параметрів, 
а їх середня величина (інтенсивність) у 
рамках тимчасового вікна довжини рядка 
розраховується за формулою 


К-і1 
фе У. с.) Тут використовувався інтер- 
Коло 

вал із значенням параметра, рівного п'яти 
секундам. Довжина згладжуючого інтерва- 
лу була обрана рівною одній секунді. Зсув 
було встановлено у півсекунди. Передба- 
чається, що подібний підхід дозволяє усу- 
нути рідкісні по частоті й випадкові мере- 
жеві сплески і, тим самим, знизити число 
помилкових спрацьовувань. 


Ді 


ОО уд Р 
М і ді) Ді 
Рис. 6. Ілюстрація методу ковзної середньої 


Третій етап методики починається з 
перевірки сенсорних сигналів, переданих 
пакетами по протоколу ВРС/55Ї, 1 містять 
обчислені параметри з'єднань. Для забез- 
печення взаємодії колектора Й сенсорів ви- 
бір упав у бік саме такої зв'язки протоко- 
лів, оскільки вони гарантують швидку й 
безпечну відправку даних. ЕРС добре заре- 
комендувала себе технологією, що успішно 
пройшла випробування часом, і яка дозво- 
ляє без праці організувати компактну пере- 
дачу бінарних потоків даних. 551, у свою 
чергу, широко використовується для ство- 
рення шифрованого каналу між передава- 
чами даних. 
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Перед безпосереднім навчанням де- 
текторів виконується попередня обробка да- 
них параметрів для зменшення ефекту їх 
сильної мінливості. Багато методів, включа- 
ючи нейронні мережі Й метод головних 
компонентів, чутливі до такого роду флук- 
туацій 1 вимагають, щоб усі ознаки оброб- 
люваних векторів мали однаковий масштаб. 

Четвертий етап методики, з точки 30- 
ру обчислювальних ресурсів, є найбільш 
трудомістким і складається з наступних ре- 
курсивно повторюваних послідовностей 
дій: обчислення залежностей поточного 
класифікатора, формування вхідних сигна- 
лів для поточного класифікатора, навчання 
поточного класифікатора. Була розроблена 
спеціальна деревоподібна структура для 
зберігання класифікаторів, яка дозволяє 
здійснювати ефективний спадний спуск по 
всіх ланцюжках залежностей, починаючи з 
верхньорівневого класифікатора до термі- 
нальних вузлів, представлених детектора- 
ми. Навчання кожного класифікатора по- 
роджує запит на навчання класифікаторів, 
що лежать нижче, зазначених у списку йо- 
го залежностей і генерацію їх вихідних да- 
них для формування вхідних даних вище- 
описаного класифікатора. Наслідком вико- 
ристовуваного таким чином каскадного на- 
вчання є можливість «ледачого» заванта- 
ження класифікаторів: у навчанні і розпіз- 
наванні беруть участь тільки ті класифіка- 
тори, які безпосередньо чи опосередковано 
зустрічаються в списку залежностей класи- 
фікатора, відповідального за формування 
спільного рішення у колективі класифіка- 
ційних правил. Ця властивість є особливо 
вигідною при розборі динамічних правил 
навчання класифікаторів, правил, від ус- 
пішного або неуспішного спрацьовування 
яких залежить виклик іншого правила. 
Зокрема, це характерно для класифікацій- 
ного дерева, коли правила є вкладеними 
одне в одне. Тим самим, за рахунок засто- 
сування прийому «ледачого» завантаження 
вдається уникнути випадків безкорисного 
виклику того детектора, чиє вихідне зна- 
чення, як уже відомо, не вплине на резуль- 
тат загального колективу класифікаційних 
правил. 
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П'ятий етап методики включає в себе 
два режими: режим оцінки ефективності й 
режим функціонування. У першому режи- 
мі здійснюється обчислення показників 
оцінки якості класифікаційних моделей, у 
другому - виконується діагностика систе- 
ми без апріорного знання про фактичні 
класи | ідентифікованого з'єднання з 
мережею. 

Розроблена система генерації мере- 
жевих атак складається з двох незалежних 
компонентів: 

- асинхронного прозорого проксі-сервера 
ТСРУ-сесій; 

- тенератора мережевих атак 1 їгопіепа- 
інтерфейсу до нього. 

Кожен із названих компонентів наці- 
лений на генерацію різноманітних мереже- 
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вих атак, які можуть включати можливі 
способи виконання ухилень від сигнатур- 
них мережевих СВА на різних рівнях моде- 
лі О5І й являти собою аномальну мережеву 
активність, яка характеризується скануван- 
ням хостів або виходить з ладу в обслуго- 
вуванні хоста. Перший компонент призна- 
чений для тестування сигнатурних мереже- 
вих СВА з метою перевірки їх спромож- 
ності до виявлення атак з приховуванням 1 
зі вставкою. 

Генератор мережевих атак дозволяє 
користувачу виконувати певні команди, які 
спрямовані на формування аномальних ме- 
режевих пакетів і їх потоків з метою по- 
дальшої їх відправки на ІР-адресу жертви й 
збереження в файл для подальшого деталь- 
ного вивчення (рис. 7). 


Процес виконання Процес захоплення та Процес формування та 
скриптів перенаправлення відправлення мережевих 
мережевого трафіку пакетів 


Виконувані 
Баві-скрипти 


СТК -заглушка 
зсгірі пишег рійе 


пи» ие си» пиие пи» ие чине ся» сит сю» сне сне пу 


Компонент 


ріі геафйег 


СТК-роз'єм 
рі гедітесіог ріше 


Елементи користувацького управління вкладками з інтерфейсу 


Головне вікно Копіепа-інтерфейса 


Компонент 


СТК -заглушка 
рік гедігесіог ріше 


іо ско ан янь ять сих сь ль я жи си ьо ять са ль са сь яка сни со я янь са аа ль ск си яке 


Рис. 7. Архітектура генератора мережевих атак 
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Для забезпечення відмови стійкості 
даного генератора атак була розроблена 
спеціальна архітектура, яка дозволяє вико- 
нувати незалежно одразу кілька процесів, 
які здійснюють ті чи інші операції з мере- 
жевими пакетами. 

Генератор мережевих атак складаєть- 
ся з трьох компонентів: набору виконува- 
них скриптів, компоненту рКі геадег, ком- 
поненту рікс 5епфег. Представлені компо- 
ненти - це бінарні й скриптові виконувані 
файли, які мають множину вхідних пара- 
метрів 1 запускаються з Ілпих-консолі. Для 
надання більш зручного доступу до основ- 
них функцій цих компонентів був розроб- 
лений бгопіепд-інтерфейс, усередині якого 
кожен компонент може бути запущений як 
самостійний процес в окремій  СіК- 
заглушці, причому в деяких копіях. Пере- 
вага такого підходу полягає в тому, що на- 
віть після аварійного завершення відповід- 
ного процесу через наявність у Його коді 
критичної помилки, наприклад, помилки 
сегментації (єзебппепіайоп Гації), основне 
вікно програми й інші, раніше запущені в 
рамках нього процеси, залишаться праце- 
здатними, і, як наслідок, генерація мереже- 
вого трафіку мережевих атак не перерветь- 
ся в несподіваному місці. У той же час, по- 
родження нових процесів призводить до 
збільшення обсягу споживаної пам'яті, 
проте, для сучасної обчислювальної техні- 
ки, яка має великі апаратні ресурси, ство- 
рення декількох додаткових процесів не 
позначається дуже негативно на продук- 
тивності системи. Вбудовування обгорну- 
тих у СіК-заглушки процесів здійснюється 
за допомогою створених у головному вікні 
СІК-гнізд, взаємодія яких з Сік-заглушками 
на системному рівні здійснюється за допо- 
могою протоколу ХЕтлей. Самі СіК-гнізда 
розміщуються в основному вікні програми 
як вкладки віджета Сік :: МоїебооК, який 
дозволяє додавати нові створені таким чи- 
ном процеси або перемикатися між уже за- 
пущеними процесами. Оскільки кожна 
вкладка і основне вікно представляють со- 
бою різні процеси, то необхідно передба- 
чити механізм їх взаємодії між процесами. 
У даному програмному засобі в ролі такої 
зв'язки задіяні так звані Юпіх-канали та 
файлові Юпіх-сокети, ініціалізовані через 
системні виклики пакНїо 1 5осКеї (конкрет- 
ний тип та ім'я файлу як вхідні опції 
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фгопіепд-інтерфейсу). Для асинхронного 
відстеження атак відкритих дескрипторів 
каналів і гнізд використовується послідов- 
ність СТь-бібліотечних викликів 
5 іо сраппе! цшпіх пему 1 Є іо ад масі, 
яка дозволяє додати сайваск- «функцію Й 
зчитувати в ній дані з дескрипторів в ос- 
новному циклі обробки сигналів, що є ана- 
логом виклику слотів. Ця функція виклика- 
ється тільки при появі в каналі або сокеті 
нових ще не прочитаних даних. Конкрет- 
ний склад вкладок формується динамічно з 
меню й вказується як вхідний аргумент 
Ббопепа-інтерфейсу. За рахунок цього до- 
сягається важлива особливість програмно- 
го засобу: додавання, редагування або зни- 
щення будь-якої Сік-заглушки, що не 
впливає на вихідний код Нопіепа-інтер- 
фейсу, і тим самим ці компоненти можуть 
розроблятися як самостійні модулі. На 
даний момент підтримуються три типи 
вкладок: 

Зсгірі иплегРіца (рис. 8). Дана вклад- 
ка призначена для запуску бінарних і скрип- 
тових виконуваних файлів, що генерують 
аномальний або нормальний трафік. Основ- 
ні функції включають ІР-адресу й порт від- 
правника, ІР-адресу й порт одержувача. Во- 
ни відображають результат перехоплення 
потоків кожної із запущених команд 54 
зідоці і 5ідетт шляхом «сліпого» копіюван- 
ня через текстовий буфер у нижню частину 
інтерфейсу. 


зсгіре гиппег рід рке гефігеског ріцо ре сгеатог рід 
в | 2. 3 ЗсгіріВиппегРішо 


боигсе Бозі -  -цбевіїпачоп по -- 
10.0.1.100 У | 10.0.1.101 


З5оигсе рогі інивни рогі 


бігесіогу ЕЙе безсгіріїоп 
/тпупеєркі сооіз/пеї аїасік депегаког їгопіепа/зсгіріє аск 5сап.5п АСК 5сап 
Ітпупеєркі Содіз/пеї абкаск депегаїог їгопіепд/зсгірів птар соппесі.5п ММАР соппесі: 
Ітпіупеєркі бодіз/пеї аїасіс депегабог їгопеепд/зсгірів птар, Яп.5п ММАР РІМ 
Ігапіупеєркі косіз/пеї аїкасік депегаїог їгопіепа/зсгірів птар пи!ї.5п ММАР МИ. 
Ітппіупеєркі бооіз/пеї аїасік депегаїог їгопіепд/зсгірів птар, зуп.5п ММАР 5УМ 
/тпіпеєркі сосіз/пеї аїгасік депегагог їгопкепад/зсгірі5 птар шар.5п ММАР ЦОР 
Ітппіупеєркі Сооіз/пеї аїкасік депегаїог їгопіепа/зсгірів птар хтаз.5п ММАР ХМА5 


/папіпекркі. кооріз/пеї аїасі депегаїог Ігопіепа/зстіріз ріпа. 5п 
Іпппіупеєркі косіз/пеї аїкасік депегаїог їгопіепа/зсгіріє геїв 5сап.5П ЗТЕШТН 
/тпіпеєркі сосіз/пеї аїасік депегаког ігопкепа/зсгіріє зуп.5іп 5УМ Яооа 


РІМС 10.0.1.101 (10.0.1.101) 56(84) Бугте5 ої дака. 

64 Бугез їгот 10.0.1.101: істр 5ед21 Ніз64 Нтеж0.023 т5 
64 Бугез їгот 10.0.1.101: істр 5еде2 Ні 64 Гітее0.033 т5 
(64 Бугез їтоті 10.0.1.101: істр 5еде3 Ні«64 Кітег0.090 т5 
64 Бугез їгот 10.0.1.101: істр, 5ед424 і-64 кітеє0.046 т5 
64 Бугез топі 10.0.1.101: істр 5ед25 Ніеб4 кітеж0.040 т5 
64 Бугез їгот 10.0.1.101: істр 5едеб Ні-64 Гітез0.045 т5 
64 Бугез їгот 10.0.1.101: істр 5еде7 Ні-64 Кітег0.045 т5 
64 Бугез їгот 10.0.1.101: істр 5ед 8 Ні-64 кітеж0.052 т5 
64 Бугез їгот 10.0.1.101: істр 5едє9 іс 64 гітеж0.042 т5 
І64 Бугез їгот 10.0.1.101: істр 5ед4210 Щі-64 біте-0.113 т5 
(64 Бугез їготі 10.0.1.101: істр 5ед4211 Ші-64 біте-0.044 т5 
64 Бугез їгот 10.0.1.101: істр 5е4212 Ніє 64 кітеж0.044 т5 
64 Бугез їгот 10.0.1.101: істр 5е4213 Ні- 64 кіте0.070 т5 
64 Бугез їгот 10.0.1.101: істр 5ед:214 Ні-64 тез 0.049 те 


Рис. 8. Вкладка запуску скриптів 
генератора мережевих атак 
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РкіКеаїгестогРіІйиє (рис. 9). Дана вклад- 
ка призначена для відтворення мережевого 
трафіку з рсар-файлу або перенаправлення 
трафіку з одного мережевого інтерфейсу в 
інший. Серед 91 2 (07:3517Р.4 опцій Є можливість 
збереження мережевих дампів, ВРЕ-фільтр і 
зміни ІР-адрес у захоплених пакетах з авто- 


матичним перерахунком контрольних сум 
на ІР-, ТСР-, ООР- 1 ІСМР-рівнях. 


зепіре гиппег рішо |0(рікє гедігестог рішд || рік сгеаког рішо 


візів РКЕВедігестогРіїид | 
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іпіча Р аддгевз Лапаіогтед ІР ачгезз 
184.126.116.142 | -- | 100201 

їпібаї ІР аддгевз. папуюогтед ІР ачагез5 
181176.88.223 ол 

апа ІР аддгезз. Пгап5їоптеа ІР аЧагезз. 
156.131.125.75 - | 10.01.01 
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Їнеге ле оириї ої зсгірі соттапаз мії Бе дізріауєаі 


Рис. 9. Вкладка читання мережевих 
дампів генератора мережевих атак 


РКкіСтеаютРіиє (рис. 10). Дана вкладка 
призначена для створення ІР-пакетів вер- 
сії 4. Можлива установка будь-яких полів 
пакету, починаючи з канального рівня й за- 
кінчуючи рівнем призначених для користу- 
вача даних. Серед додаткових опцій можна 
назвати можливість відправки пакета в за- 
даний мережевий інтерфейс, вказівки чис- 
ла дублів, автоматичного обчислення конт- 
рольних сум у пакеті. 
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Рис. 10. Вкладка створення мережевих 
пакетів генератора мережевих атак 
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Кожна з представлених заглушок -- 
це бінарний виконуваний ЕІ.Е-файл, який 
може бути запущений з панелі меню, роз- 
ташованої у верхній частині гопіепа- 
інтерфейсу. Заглушка вбудовується в ос- 
новне вікно програми за допомогою викли- 
ку адд ї4 з аргументом ідентифікатора за- 
глушки над гніздом елементу. При розроб- 
ці Копіепд-Інтерфейсу використовувалися 
мова Ся, бібліотеки Боо5і 
(ЩЬБоозі ргоєгат орбїоп5.50, 

ПЬроозі гедех.50, ПББоо5і Ніебувіет.50, 

НЬБоозі зузіет.5о, ПЬБооз5і Шгеад.80) 1 гра- 

фічна бібліотека СІК-3. Обсяг вихідного ко- 

ду генератора мережевих атак - 2770 не- 
пустих рядків без урахування коментарів. 

За рахунок наявності великої кількості сис- 

темно залежних викликів у нижчих компо- 

нентах і бібліотеках розроблено програм- 
ний засіб, призначений тільки для запуску 

в ОС Шпих. Вихідний код представлений у 

наступних файлах: 

- пеї айаск реп. і пеє айаск єеп.срр. 
Файли з описом і реалізацією класу 
МесАнаскОепУ/ дом (основного вікна 
програми) є похідними від СіК 
МУ пдом; 

- Базе ріше В і Базе ріе.срр. Файли з 
описом 1 реалізацією абстрактного ба- 
зового класу ВазеРіцє (контейнера СІК- 
заглушок) є похідними від СІК :: РІце; 

- 5сгірі гиплег ріше. В 1 
зсгірі гиплег ріце.срр. Файли з описом 
і реалізацією класу ЗспіріКиппегРІиає, 
похідного від Ва5еРіице; 

- р гедігесіог ріше П 1 
рКі гедігесіог ріце.срр. Файли з описом 
і реалізацією класу РКіКеадїгесіогРіІйиє, 
похідного від Ва5еРіце; 

- рКкі сгеаїог -ріцв р 1 ро: сгеаїог г ріов. срр. 
Файли з описом 1 реалізацією класу 
РКіСтеагРіиє, похідного від Ва5еРіце; 

- іпіегргосеє5 согатипісаюог. В і 
іпіегргосе85 сопапипісаїог.срр. Файли з 
описом і реалізацією класу 
ІіегРгосез5Соплтипісаюг підтримують- 
ся іменованими каналами, файловими 
сокетами і виділеною пам'яттю; 

- Іоє.Б, Файл з директивами для виведен- 
ня налагоджувальної інформації; 

- Макебіе. Файл з правилами для збірки 
додатку. 
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Кожен з розглянутих алгоритмів реа- 
лізовано з використанням мови програму- 
вання С-НЕ та бібліотеки ПБс.50. Для реалі- 
зації паралельних модифікацій цих алго- 
ритмів були використані компілятор єсс 
4.9.2-10, деб-пакети ШПреотрі 4.9.2-10 
(ОрепМР), пуійа-сида-деу 6.0.37-5, пмійа- 
сида-іо0іКі 6.0.37-5 (СОР). 

Висновки 

Представлено моделі бінарних класи- 
фікаторів, описано алгоритм класифікації 
мережевих з'єднань за допомогою них. 

Розроблено систему генерації мере- 
жевих атак. Дана система складається з 
двох компонентів: асинхронного прозоро- 
го проксі-сервера ТСР-сесій і фтопіепа- 
інтерфейсу генератора мережевих атак. 

Виконано експерименти з оцінки за- 
пропонованих моделей, алгоритмів і мето- 
дики, проведено експериментальне порів- 
няння розробленого мережевого сенсора з 
характеристиками відкритих СВА. Резуль- 
тати експериментів підтвердили те, що 
функціональні 1 нефункціональні вимоги, а 
також вимоги, що пред'являються до об- 
числювальних інтелектуальних систем, ви- 
конуються для розробленої СВА. 
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